Condividi tramite

Gli utenti non possono accedere ai siti Web quando il registro eventi di sicurezza è pieno

  • Articolo

Questo articolo consente di risolvere il problema in cui l'utente non può accedere ai siti Web quando il registro eventi di sicurezza è pieno.

Versione originale del prodotto: Internet Information Services
Numero KB originale: 832981

Riepilogo

La funzionalità CrashOnAuditFail è una chiave del Registro di sistema che può essere impostata per assicurarsi che tutti gli eventi controllabili vengano registrati nel registro eventi di sicurezza. Se non è possibile registrare un evento controllabile nel registro eventi di sicurezza, si verifica un errore di arresto (STOP 0xC0000244). L'errore di arresto si verifica in genere perché il registro eventi di sicurezza è pieno. Dopo che si verifica l'errore di arresto, gli account non amministratori non possono accedere ai siti Web e Microsoft Internet Information Services (IIS) restituisce messaggi di errore HTTP 500 finché non viene reimpostata la chiave CrashOnAuditFail e il registro eventi di sicurezza viene cancellato.

Sintomi

Quando si accede a un sito Web nel server, viene visualizzato uno dei messaggi di errore seguenti.

  • Messaggio di errore 1

    HTTP 500 - Errore interno del server

  • Messaggio di errore 2

    Errore HTTP 401.1 - Non autorizzato: l'accesso viene negato a causa di credenziali non valide.

  • Messaggio di errore 3

    Impossibile contattare l'autorità di sicurezza locale.

  • Quando i messaggi di errore descrittivi vengono disattivati nel browser, è anche possibile che venga visualizzato il messaggio di errore seguente:

    Errore di accesso: l'utente non è autorizzato ad accedere al computer.

Causa

Questo problema si verifica se il registro eventi di sicurezza ha raggiunto le dimensioni massime del log e l'impostazione Wrapping del registro eventi è impostata su Sovrascrivi eventi precedenti aXDays o Non sovrascrivere eventi. Poiché il registro eventi di sicurezza è pieno e la chiave del Registro di sistema CrashOnAuditFail è impostata, Microsoft Windows non consente agli account che non sono account amministratore di accedere. Quando è configurato l'accesso anonimo, le richieste al sito Web tentano di eseguire l'autenticazione usando gli account IUSR_computername e IWAM_computername . Questi account non sono account amministratore.

Risoluzione

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Se, tuttavia, si modifica il Registro di sistema in modo errato, possono verificarsi gravi problemi. Pertanto, assicurarsi di osservare attentamente la procedura seguente. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.

Per risolvere il problema, seguire questa procedura:

  1. Salvare e cancellare il registro eventi di sicurezza.

  2. Avviare l'editor del Registro di sistema.

  3. Individuare la chiave seguente e quindi impostare il valore di questa chiave su 1:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. Riavviare il server. Le modifiche del Registro di sistema non diventano effettive fino al riavvio del server.

Ulteriori informazioni

La chiave del Registro di sistema CrashOnAuditFail fornisce una funzionalità di sicurezza facoltativa che gli amministratori di sistema possono usare per esaminare tutti gli eventi di sicurezza. I valori validi per la chiave CrashOnAuditFail sono 0, 1 e 2. Le opzioni per i dati sono:

  • 0 - Chiunque può accedere. Questo è il valore predefinito.

  • 1 - Chiunque può accedere se il sistema può controllare gli eventi e scrivere gli eventi nel registro eventi di sicurezza. Se il registro eventi di sicurezza è pieno, il valore della chiave CrashOnAuditFail viene modificato in 2 e il server si arresta in modo anomalo.

  • 2 - Solo gli amministratori possono accedere.

Quando il registro eventi di sicurezza diventa pieno, il server si blocca in modo che non vengano rilevati eventi controllabili. È possibile impedire il blocco del server usando uno dei metodi seguenti. Si noti, tuttavia, che impedire il blocco del server sconfigge lo scopo della chiave CrashOnAuditFail .

Note

Nessuno dei metodi seguenti risolve il problema. Prima di usare uno di questi metodi, è necessario seguire la procedura descritta nella sezione Risoluzione .

  • Impostare l'impostazione Wrapping del registro eventi su Sovrascrivere gli eventi in base alle esigenze.

  • Limitare il numero o i tipi di eventi controllati o disabilitare completamente il controllo.

  • Impostare il valore per la chiave del Registro di sistema seguente su 0:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail